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(57) Abstract 

The invention relates to a process by means of which a 
session key (K) can be agreed upon between a first computer unit 
(U) and a second computer unit (N) while preventing unauthorised 
third parties from obtaining useful information concerning the key 
or the identity of the first computer unit (U). This is achieved by 
embedding the principle of the El-Gamal key exchange into the 
process of the invention with additionally by the formation of a 
digital signature via a hash value of the session key (K) generated 
by the first computer unit (U). 

(57) Zusammenfassung 

Die Erfindung betrifft ein Verfahren, mit dem ein Sitzungss- 
chlussel (K) zwischen einer ersten Computereinheit (U) und 
einer zweiten Computereinheit (N) vereinbart werden kann, ohne 
daB ein unbefugter Dritter ntitzliche Information bezuglich der 
Schlussel oder der Identitat der ersten Computereinheit (U) erhal- 
ten kann. Dies wird erreicht durch die Einbettung des Prinzips 
des El-Gamal SchlUsselaustauschs in das erfindungsgemaBe Ver- 
fahren mit einer zusatzlichen Bildung einer digitalen Unterschrift 
ttber einen Hash-Wen des von der ersten Computereinheit (U) 
gebildeten Sitzungsschlussels (K). 
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Beschreibung 

5 

Verfahren zum rechnergestutzten Austausch kryptographischer 
Schlussel zwischen einer ersten Computereinheit und einer 
zweiten Computereinheit 

10 

Informationstechnische Systeme unterliegen verschiedenen Be- 
drohungen. So kann z . B . ubertragene Information von einem 
unbefugten Dritten abgehort und verandert werden. Eine weite- 
re Bedrohung bei der Kommunikation zweier Kommunikations- 
15 partner liegt in der Vorspiegelung einer falschen Identitat 
eines Kommunikationspartners . 

Diesen und weiteren Bedrohungen wird durch verschiedene Si- 
cherheitsmechanismen, die das informationstechnische System 

20 vor den Bedrohungen schutzen sollen, begegnet . Ein zur Siche- 
rung verwendeter Sicherheitsmechanismus ist die Verschlusse- 
lung der ubertragenen Daten. Damit die Daten in einer Kommu- 
nikationsbeziehung zwischen zwei Kommunikationspartnern ver- 
schlusselt werden konnen, mussen vor der Ubertragung der ei- 

25 gentlichen Daten zuerst Schritte durchgefuhrt werden, die die 
Verschlusselung vorbereiten. Die Schritte konnen z. B. darin 
bestehen, dafi sich die beiden Kommunikationspartner auf einen 
Verschlusselungsalgorithmus einigen und dafi ggf . die gemein- 
samen geheimen Schlussel vereinbart werden. 

30 

Besondere Bedeutung gewinnt der Sicherheitsmechanismus der 
Verschlusselung bei Mobilf unksystemen, da die ubertragenen 
Daten in diesen Systemen von jedem Dritten ohne besonderen 
zusatzlichen Auf wand abgehort werden konnen. 

35 

Dies fuhrt zu der Anforderung, eine Auswahl bekannter Sicher- 
heitsmechanismen so zu treffen und diese Sicherheitsmechanis- 
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men geeignet zu kombinieren, sowie Kommunikationsprotokolle 
zu spezif izieren, daS durch sie die Sicherheit von informa- 
tionstechnischen Systemen gewahrleistet wird. 

5 Es sind verschiedene asymmetrische Verfahren zum rechnerge- 
stutzen Austausch kryptographischer Schlussel bekannt. Asym- 
metrische Verfahren, die geeignet sind fur Mobilf unksysteme, 
sind (A. Aziz, W. Diffie, "Privacy and Authentication for Wi- 
reless Local Area Networks ", IEEE Personal Communications, 
10 1994, S. 25 bis 31) und (M. Beller, "Proposed Authentication 
and Key Agreement Protocol for PCS", Joint Experts Meeting on 
Privacy and Authentication for Personal Communications, P&A 
JEM 1993, 1993, S. 1 bis 11). 

15 Das in (A. Aziz, W. Diffie, "Privacy and Authentication in 
Wireless Local Area Networks", IEEE Personal Communications, 
1994, S. 25 bis 31) beschriebene Verfahren bezieht sich aus- 
drucklich auf lokale Netzwerke und stellt hohere Rechenlei- 
stungsanf orderungen an die Computereinheiten der Kommunika- 

20 tionspartner wahrend des Schlusselaustauschs . AuEerdem wird 
in dem Verfahren mehr Ubertragungskapazitat benotigt als in 
dem erf indungsgemaSen Verfahren, da die Lange der Nachrichten 
grofier ist als bei dem erf indungsgemaSen Verfahren. 

25 Das in (M. Beller, "Proposed Authentication and Key Agreement 
Protocol for PCS", Joint Experts Meeting on Privacy and Au- 
thentication for Personal Communications, P&A JEM 1993, 1993, 
S. 1 bis 11) beschriebene Verfahren hat einige grundlegende 
Sicherheitsziele nicht realisiert. Die explizite Authentifi- 

30 kation des Netzes durch den Benutzer wird nicht erreicht . Au- 
Serdem wird ein vom Benutzer an das Netz ubertragener Schlus- 
sel vom Netz nicht an den Benutzer bestatigt. Auch eine Zusi- 
cherung der Frische (Aktualitat) des Schlussels fur das Netz 
ist nicht vorgesehen. Ein weiterer Nachteil dieses Verfahrens 

3 5 besteht in der Beschrankung auf das Rabin-Verf ahren bei der 
impliziten Authentif izierung des Schlussels durch den Benut- 
zer. Dies schrankt das Verfahren in einer flexibleren Anwend- 
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barkeit ein. AuSerdem ist kein Sicherheitsmechanismus vorge- 
sehen, der die Nichtabstreitbarkeit von ubertragenen Daten 
gewahrleistet . Dies ist ein erheblicher Nachteil vor allem 
auch bei der Erstellung unanf echtbarer Gebuhrenabrechnungen 
fur ein Mobil f unksystem. Auch die Beschrankung des Verf ahrens 
auf den National Institute of Standards in Technology Signa- 
ture Standard (NIST DSS) als verwendete Signaturf unktion 
schrankt das Verfahren in seiner allgemeinen Verwendbarkeit 
ein. 



Es ist ein Verfahren zum sicheren Datenaustausch zwischen 
vielen Teilnehmern unter Mitwirkung einer Zertif izierungsin- 
stanz bekannt (US-Patentschrif t US 5 214 700) . Das bei diesem 
Verfahren verwendete Protokoll weist eine Zufallszahl, eine 
15 Identitatsangabe sowie einen offentlichen Schlussel und einen 
Sitzungsschlussel auf. Grundlegende Sicherheitsziele werden 
jedoch bei diesem Verfahren nicht realisiert. 



Weiterhin ist ein Verfahren fur eine PC-PC-Kommunikation un- 
ter Mitwirkung eines Trust-Centers bekannt (DE-Broschure : Te- 
lesec. Telekom, Produktentwicklung Telesec beim Fernmeldeamt 
Siegen, S. 12-13 und Bild 16). 

Aus der US-Patentschrift US 5 222 140 ist ein Verfahren be- 
kannt, bei dem unter Verwendung sowohl eines offentlichen als 
auch eines geheimen Schlussels sowie unter Verwendung einer 
Zufallszahl ein Sitzungsschlussel erzeugt wird. Dieser wird 
mit einem offentlichen Schlussel verknupft. 

Weiterhin ist aus der Patentschrif t US 5 153 919 ein Verfah- 
ren beschrieben, bei dem eine Benutzereinheit sich gegenuber 
einer Netzeinheit identif iziert . AnschlieSend findec unter 
Anwendung einer Hash-Funktion zwischen der Benutzereinheit 
und der Netzeinheit ein Authentif izierungsprozeS statt. 

Weitere sichere Kommunikationsprotokolle, die aber wesentli- 
che grundlegende Sicherheitsziele nicht realisieren, sind be- 
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kannt (M. Beller et al, Privacy and Authentication on a Por- 
table Communication System, IEEE Journal on Selected Areas in 
Communications, Vol. 11, No. 6, S. 821-829, 1993). 

5 Das Problem der Erfindung liegt darin, ein vereinf achtes Ver- 
fahren zum rechnergestutzten Austausch kryptographischer 
Schlussel anzugeben . 

Dieses Problem wird durch das Verfahren gemafi Patentanspruch 
10 1 gelost. Vorteilhafte Weiterbildungen der Erfindung ergeben 
sich aus den abhangigen Anspruchen. 

Es wird aus einer ersten Zufallszahl mit Hilfe eines erzeu- 
genden Elements einer endlichen Gruppe in der ersten Compu- 

15 tereinheit ein erster Wert gebildet und eine erste Nachricht 
von der ersten Computereinheit an die zweite Computereinheit 
ubertragen, wobei die ersten Nachricht mindestens den ersten 
Wert aufweist. In der zweiten Computereinheit wird ein Sit- 
zungsschlussel mit Hilfe einer ersten Hash-Funktion gebildet, 

2 0 wobei eine erste EingangsgroSe der ersten Hash-Funktion min- 
destens einen ersten Term aufweist, der gebildet wird durch 
eine Exponentiation des ersten Werts mit einem geheimen Netz- 
schlussel. In der ersten Computereinheit wird der Sitzungs- 
schlussel gebildet mit Hilfe der ersten Hash-Funktion, wobei 

2 5 eine zweite EingangsgroSe der ersten Hash-Funktion mindestens 

einen zweiten Term aufweist, der gebildet wird durch eine Ex- 
ponentiation eines offentlichen Netzschlussels mit der ersten 
Zufallszahl. Ferner wird in der ersten Computereinheit mit 
Hilfe einer zweiten Hash-Funktion oder der ersten Hash- 

3 0 Funktion eine vierte EingangsgroSe gebildet, wobei eine drit- 

te EingangsgroSe fur die erste Hash-Funktion oder fur die 
zweite Hash-Funktion zur Bildung der vierten EingangsgroSe 
mindestens den Sitzungsschlussel aufweist. Daraufhin wird in 
der ersten Computereinheit ein Signaturterm aus mindestens 
3 5 der vierten EingangsgroSe gebildet unter Anwendung einer er- 
sten Signaturf unktion. Eine dritte Nachricht wird von der er- 
sten Computereinheit an die zweite Computereinheit ubertra- 
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gen, wobei die dritte Nachricht mindestens den Signaturterm 
der ersten Computereinheit aufweist . in der zweiten Compu- 
tereinheit wird der Signaturterm verifiziert . 

5 Die durch das erf indungsgemaSe Verfahren erreichten Vorteile 
liegen vor allem in einer erheblichen Reduktion der Lange der 
ubertragenen Nachrichten und in der Realisierung weiterer Si- 
cherheitsziele. 

10 Durch das erf indungsgemaSe Verfahren werden folgende Si cher- 
heitsziele realisiert: 

- Gegenseitige explizite Authentif izierung von dem Benutzer 
und dem Netz, d. h. die gegenseitige Verif izierung der be- 

15 haupteten Identitat, 

- Schlusselvereinbarung zwischen dem Benutzer und dem Netz 
mit gegenseitiger impliziter Authentif izierung, d. h. daS 
durch das Verfahren erreicht wird, daE nach Abschlufi der 
Prozedur ein gemeinsamer geheimer Sitzungsschlussel zur 

20 Verfugung steht, von dem jede Partei wei£, daS nur das au- 

thentische Gegenuber sich ebenfalls im Besitz des geheimen 
Sitzungsschlussels befinden kann, 

- Zusicherung der Frische (Aktualitat) des Sitzungsschlussels 
fur den Benutzer, 

25 - gegenseitige Bestatigung des Sitzungsschlussels von dem Be- 
nutzer und dem Netz, d. h. die Bestatigung, daS das Gegen- 
uber tatsachlich im Besitz des vereinbarten geheimen Sit- 
zungsschlussels ist . 

3 0 Auf diese Sicherheitsziele beziehen sich auch die folgenden 
vorteilhaf ten Weiterbildungen des Verfahrens. 

Bei der Weiterbildung des Verfahrens gemaS den Patentanspruch 
2 wird zusatzlich in der ersten Computereinheit ein vertrau- 
35 enswurdiger offentlicher Benutzerschlussel der ersten Compu- 
tereinheit z. B. in Form eines Benutzerzertif ikats verfugbar 
gemacht und in der zweiten Computereinheit wird ein vertrau- 
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enswurdiger of fentlicher Netzschlussel der zweiten Compu- 
tereinheit z. B. in Form eines Netzzertif ikats verfugbar ge- 
macht. Der offentliche Netzschlussel muS bei* dieser Weiter- 
bildung nicht in der ersten Computereinheit verfugbar sein. 

5 

Durch die Weiterbildung des Verfahrens gemaE den Patentan- 
spruch 3" ist es nicht notig, da£ der offentliche Benut- 
zerschlussel in der zweiten Computereinheit verfugbar ist. 

10 Bei der Weiterbildung des Verfahrens gemaS Patentanspruch 4 

ist in der ersten Computereinheit kein vertrauenswurdiger 6f- 
fentlicher Netzschlussel der zweiten Computereinheit erfor- 
derlich. In der ersten Computerenheit ist ein vertrauenswur- 
diger offentlicher Zertif izierungsschlussel der Zertifizie- 

15 rungscomputereinheit verfugbar. Dies bedeutet, dafi die erste 
Computereinheit sich den vertrauenswurdigen offentlichen 
Netzschlussel in Form eines Netzzertif ikats von einer Zerti- 
f izierungscomputereinheit "besorgen" mu£. Ebenso braucht die 
zweite Computereinheit den vertrauenswurdigen offentlichen 

2 0 Benutzerschussel in Form eines Benutzerzert if ikats von der 
Zertif izierungscomputereinheit . 

Durch die Weiterbildungen des erf indungsgemaSen Verfahrens 
gemaB den Patentanspruchen 6 und 12 wird das Sicherheitsziel 
25 der Benutzeranonymitat realisiert, d. h. die Vertraulichkeit 
der Identitat des Benutzers gegenuber Dritten. 

Die Weiterbildung des erf indungsgemaBen Verfahrens gemaE Pa- 
tentanspruch 8 ermoglicht die Verwendung von temporaren Be- 
30 nutzeridentitaten . 

Durch die Weiterbildung des Verfahrens gema£ Patentanspruch 9 
wird vor allem eine zusatzliche Authentif izierung der zweiten 
Computereinheit gegenuber der ersten Computereinheit gewahr- 
35 leistet. 
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Durch die Weiterbildung gemaS Patentanspruch 11 wird das Si- 
cherheitsziel der Zusicherung der Frische (Aktualitat) des 
Sitzungsschlussels fur das Netz realisiert. 

5 Durch die Weiterbildung des erf indungsgemafien Verfahrens ge- 
mafi Patentanspruch 14 wird "zusatzlich das Sicherheitsziel der 
Nichtabstreitbarkeit von Daten realisiert, die vom Benutzer 
an das Netz gesendet wurden. 

10 Das erfindungsgemafie Verfahren ist auEerdem sehr leicht an 

unterschiedliche Anf orderungen anpafibar, da es sich nicht auf 
bestimmte Algorithmen fur Signaturbildung und Verschlusselung 
beschrankt . 

15 Die Zeichnungen stellen bevorzugte Ausfuhrungsbeispiele der 
Erfindung dar, die im folgenden naher beschrieben werden. 



Es zeigen 



Figur 1 ein Ablauf diagramm, das ein erstes Ausf uhrungsbei- 
spiel des erf indungsgemaSen Verfahrens mit einigen 
Weiterbildungen darstellt; 
Figur 2 ein Ablauf diagramm, das das erste Ausf uhrungs be i spiel 
des erfindungsgemaEen Verfahrens mit zusatzlich rea- 
25 lisierten Sicherheitszielen mit einigen Weiterbildun- 

gen beschreibt . 

Figur 3 ein Ablauf diagramm, das ein zweites Ausf uhrungsbei- 
spiel des erf indungsgemaSen Verfahrens mit einigen 
30 Weiterbildungen darstellt; 

Figur 4 ein Ablauf diagramm, das das zweite Ausf uhrungsbei- 

spiel des erfindungsgemaEen Verfahrens mit zusatzlich 
realisierten Sicherheitszielen mit einigen Weiterbil- 
dungen beschreibt . 
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Figuren 5a , b ein Ablauf diagramm, das ein drittes Ausfuh- 
rungsbeispiel des erf indungsgemafien Verfahrens mit 
einigen Weiterbildungen darstellt; 

Figuren 6a, b ein Ablauf diagramm, das das dritte Ausfuhrungs- 
5 beispiel des erf indungsgemafien Verfahrens mit zusatz- 

lich realisierten Sicherheitszielen mit einigen Wei- 
terbildungen beschreibt. 

Erstes Ausfuhrungsbeispiel 

10 

In den Figuren 1 und 2 sind durch zwei Skizzen der Ablauf des 
erf indungsgemaSen Verfahrens dargestellt. Das erf indungsge- 
mafie Verfahren betrifft den Austausch kryptographischer 
Schlussel zwischen einer ersten Computereinheit U und einer 
15 zweiten Computereinheit N, wobei unter der ersten Compu- - 
tereinheit U eine Computereinheit eines Benutzers eines Mo- 
bilf unknetzes zu verstehen ist und unter einer zweiten Compu- 
tereinheit N eine Computereinheit des Netzbetreibers eines 
Mobilfunksys terns zu verstehen ist. 

20 

Die Erfindung beschrankt sich jedoch nicht auf ein Mobil - 
funksystem und somit auch nicht auf einen Benutzer eines Mo- 
bilfunksys terns und das Netz, sondern kann in alien Bereichen 
angewendet werden, in denen ein kryptographischer Schlussel- 

25 austausch zwischen zwei Kommunikationspartnern benotigt wird. 
Dies kann z. B. in einer Kommunikationsbeziehung zwischen 
zwei Rechnern, die Daten in verschlusselter Form austauschen 
wollen, der Fall sein. Ohne Beschrankung der Allgemeingultig- 
keit wird im folgenden also ein erster Kommunikationspartner 

30 als erste Computereinheit U und ein zweiter Kommunikations- 
partner als zweite Computereinheit N bezeichnet . 

Fur das erf indungsgemaSe Verfahren gemaS Anspruch 1 wird vor- 
ausgesetzt, daS in der ersten Computereinheit U ein vertrau- 
3 5 enswurdiger offentlicher Netzschlussel g s der zweiten Compu- 
tereinheit N verfugbar ist und daS in der zweiten Compu- 
tereinheit N ein vertrauenswurdiger offentlicher Benutzer- 
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schlussel g der ersten Computereinheit U verfugbar ist, wo- 
bei g ein erzeugendes Element einer endlichen Gruppe ist. 

In der. ersten Computereinheit U wird eine erste Zufallszahl t 
5 generiert. Aus der ersten Zufallszahl t wird mit Hilfe des 
erzeugenden Elements g einer endlichen Gruppe in der ersten 
Computereinheit U ein erster Wert gt gebildet. 

Asymmetrische Verfahren beruhen im wesentlichen auf zwei Pro- 
10 blemen der Komplexitatstheorie, dem Problem zusammengesetzte 
Zahlen effizient zu f aktorisieren, und dem diskreten Log- 
arithmusproblem (DLP) . Das DLP besteht darin, daS in geeig- 
neten Rechenstrukturen zwar Exponent iationen effizient durch- 
gefuhrt werden konnen, daS jedoch fur die Umkehrung dieser 
15 Operation, das Logarithmieren, keine effizienten Algorithmen 
bekannt sind. 

Solche Rechenstrukturen sind z. B. unter den oben bezeichne- 
ten endlichen Gruppen zu verstehen. Diese sind z. B. die mul- 
tiplikative Gruppe eines endlichen Korpers (z. B. Multipli- 
zieren Modulo p, wobei p eine groEe Primzahl ist), oder auch 
sogenannte "elliptische Kurven". Elliptische Kurven sind vor 
allem deshalb interessant, weil sie bei gleichem Sicher- 
heitsniveau wesentliche kurzere Sicherheitsparameter erlau- 
25 ben. Dies betrifft die Lange der offentlichen Schlussel, die 
Lange der Zertifikate, die Lange der bei der Sit zungsschlus- 
selvereinbarung auszutauschenden Nachrichten sowie die Lange 
von digitalen Signatures die jeweils im weiteren beschrieben 
werden. Der Grund dafur ist, daS die fur elliptische Kurven 
3 0 bekannt en Logarithmierverf ahren wesentlich weniger effizient 
sind als die fur endliche Korper . 

Eine grofie Primzahl in diesem Zusammenhang bedeutet, daE die 
GroSe der Primzahl so gewahlt werden muE, daS die Logarith- 
3 5 mierung so aufwendig ist, daE sie nicht in vertretbarer Zeit 
durchgefuhrt werden kann. Vertretbar bedeutet in diesem Zu- 
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sammenhang einen Zeitraum entsprechend der Sicherheitspolitik 
von mehreren Jahren bis Jahrzehnten und langer. 

Nach der Berechnung des ersten Werts g t wird eine erste Nach- 
5 richt Ml codiert, die mindestens den ersten Wert g t aufweist. 
Die erste Nachricht Ml wird von der ersten Computereinheit U 
an die z'weite Computereinheit N ubertragen. 

In der zweiten Computereinheit N wird die erste Nachricht Ml 
10 decodiert. Die erste Nachricht Ml kann auch uber einen unsi- 
cheren Kanal , also auch uber eine Luf tschnittstelle, unver- 
schlusselt ubertragen werden, da die Logarithmierung des er- 
sten Wertes g fc nicht in vertretbarer Zeit durchgefuhrt werden 
kann. 

15 

Wie in Figur 2 beschrieben, kann es vorgesehen sein, daE in 
der zweiten Computereinheit N eine zweite Zufallszahl r gene- 
riert wird. Durch diesen zusatzlichen Verf ahrensschritt wird 
ein zusatzliches Sicherheitsziel realisiert : die Zusicherung 
2 0 der Frische (Aktualitat) eines im folgenden beschriebenen 
Sitzungsschlussels K fur die zweite Computereinheit N . 

In der zweiten Computereinheit N wird mit Hilfe einer ersten 
Hash-Funktion hi ein Sit zungsschlussel K gebildet. Als eine 

2 5 erste EingangsgroEe der ersten Hash-Funktion hi wird minde- 

stens ein erster Term verwendet . Der erste Term wird gebil- 
det, indem der erste Wert g fc potenziert wird mit einem gehei- 
men Netzschlussel s. 

3 0 Unter einer Hash-Funktion ist in diesem Zusammenhang eine 

Funktion zu verstehen, bei der es nicht moglich ist, zu einem 
gegebenen Funktionswert einen passenden Eingangswert zu be- 
rechnen. Fernder wird einer beliebig langen Eingangszeichen- 
folge eine Ausgangszeichenf olge fester Lange zugeordnet . Des 
3 5 weiteren wird fur die Hash-Funktion in diesem Zusammenhang 
Kollisionsf reiheit gefordert, d. h- es darf nicht moglich 



WO 96/37064 ^ PCI7DE96/00835 



20 



30 



35 




11 



sein, zwei verschiedene Eingangszeichenf olgen zu finden, die 
dieselbe Ausgangszeichenf olge ergeben. 

Wenn die zweite Zufallszahl r verwendet wird, so weist die 
5 erste Eingangsgrofie der ersten Hash-Funktion hi zusatzlich 
mindestens die zweite Zufallszahl r auf . 

Nun wird in der zweiten Computereinheit N eine Antwort A ge- 
bildet. Zur Bildung der Antwort A sind verschiedene Varianten 

10 vorgesehen. So ist es z. B. moglich, daS mit dem Sitzungs- 
schlussel K unter Verwendung einer Verschlusselungsf unktion 
Enc eine Konstante const verschlusselt wird. Die Konstante 
const ist sowohl der ersten Computereinheit U als auch der 
zweiten Computereinheit N bekannt . Auch die Verschlusselungs- 

15 funktion Enc ist sowohl der zweiten Computereinheit N als • 

auch der ersten Computereinheit U als die in dem Verfahren zu 
verwendende Verschlusselungsfunktion bekannt. 



Eine weitere Moglichkeit, die Antwort A zu bilden liegt z. B. 
darin, daS der Sitzungsschlussel K.als Eingangsgrofie fur eine 
dritte Hash-Funktion h3 verwendet wird und der "gehashte" 
Wert des Sitzungsschlussels K als Antwort A verwendet wird. 
Weitere Moglichkeiten, die Antwort A zu bilden, die zur Uber- 
prufung des Sitzungsschlussels K in der ersten Computerein- 
25 heit U verwendet wird, sind dem Fachmann gelaufig und konnen 
als Varianten zu den beschriebenen Vorgehensweisen verwendet 
we r den . 



Eine Aneinanderreihung der zweiten Zufallszahl r, der Antwort 
A, sowie ein optionales erstes Datenfeld datl bilden eine 
zweite Nachricht M2 . Die zweite Zufallszahl r und das optio- 
nale erste Datenfeld datl sind nur in der zweiten Nachrichten 
112 enthalten, wenn diese in dem erf indungsgemafien Verfahren 
vorgesehen werden. 

Die zweite Nachricht M2 wird in der zweiten Computereinheit N 
codiert und zu der ersten Computereinheit U ubertragen. 
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In der ersten Computereinheit U wird die zweite Nachricht M2 
decodiert, so daS die erste Computereinheit U eventuell die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
5 tionale erste Datenfeld datl zur Verfugung hat. Die Lange des 
optionalen ersten Datenfeldes datl kann beliebig grofi sein, 
d. h. es ist auch moglich, daS das optionale erste Datenfeld 
datl nicht vorhanden ist. 

In der ersten Computereinheit U wird nun ebenfalls der Sit- 
zungsschlussel. K gebildet, mit Hilfe der ersten Hash-Funktion 
hi, die sowohl der zweiten Computereinheit N als auch der er- 
sten Computereinheit U bekannt ist. Eine zweite EingangsgroSe 
der ersten Hash-Funktion hi zur Bildung des Sitzungsschlus- 
sels K in der ersten Computereinheit U weist mindestens einen 
zweiten Term auf . Der zweite Term wird gebildet aus einer Ex- 
ponentation eines offentlichen Netzschlussels g s mit der er- 
sten Zufallszahl t. Wenn die Verwendung der zweiten Zu- 
fallszahl r in dem erf indungsgemaSen Verfahren vorgesehen 
wird, so weist die zweite EingangsgroSe der ersten Hash-Funk- 
tion hi zur Bildung des Sitzungsschlussels K in der ersten 
Computereinheit U zusatzlich die zweite Zufallszahl auf. 

Durch die Verwendung der ersten Zufallszahl t und der zweiten 
25 Zufallszahl r bei der Generierung des Sitzungsschlussels K 
wird die Aktualitat des Sitzungsschlussels K gewahrleistet , 
da jeweils die erste Zufallszahl t als auch die zweite Zu- 
fallszahl r nur fur jeweils einen Sit zungsschlussel K ver- 
wendet werden . 

30 

Somit wird eine Wiedereinspielung eines alteren Schlussels 
als Sitzungsschlussel K verhindert . Die Aktualitat des Sit- 
zungsschlussels K ist auch bedeutend im Zusammenhang mit der 
Fragestellung , wie gro£ die erste Zufallszahl t sowie die 
35 zweite Zufallszahl r sein mussen. Dies wird deutlich, da eine 
geringere Lange der Zuf allszahlen das DLP-Problem verringern, 
d. h. je kurzer die Zufallszahl ist, desto einfacher ist die 
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Logarithmierurig, also z. B. das Herausfinden der ersten Zu- 
fallszahl . t aus dem ersten Wert g t . Wenn aber fur jeden neuen 
Sitzungsschlussel K andere Zuf allszahlen verwendet werden, so 
ist die Wahrscheinlichkeit, da£ der verwendete Sitzungs- 
5 schlussel K von einem unbefugten Dritten schon herausgef unden 
wurde, wesentlich geringer; Damit ist die Gefahr, daS der 
Teil eirier Nachricht, der mit dem Sitzungsschlussel K ver- 
schlusselt ist, von einem unbefugten Dritten entschlusselt 
werden kann, erheblich reduziert. 

10 

Nachdem in der ersten Computereinheit U der Sitzungsschlussel 
K gebildet wurde, wird anhand der empf angenen Antwort A uber- 
pruft, ob der in der ersten Computereinheit U gebildete Sit- 
zungsschlussel K mit dem Sitzungsschlussel K, der in der 
15 zweiten Computereinheit N gebildet wurde, ubereinstimmt . Ab- 
hangig von den im vorigen beschriebenen Varianten zur Bildung 
der Antwort A sind verschiedene Moglichkeiten vorgesehen, den 
Sitzungsschlussel K anhand der Antwort A zu uberprufen. 

2 0 Eine Moglichkeit besteht. z. B. darin, daS, wenn die Antwort A 

in der zweiten Computereinheit N durch Verschlusselung der 
Konstante const mit dem Sitzungsschlussel K unter Verwendung 
der Verschlusselungsfunktion Enc gebildet wurde, die Antwort 
A entschlusselt wird, und somit die erste Computereinheit U 
25 eine entschlusselte Konstante const 1 erhalt, die mit der be- 
kannten Konstante const verglichen wird. 

Die Uberprufung des Sitzungsschlussels K anhand der Antwort A 
kann auch durchgefuhrt werden, indem die der ersten Compu- 

3 0 tereinheit U bekannte Konstante const mit dem in der ersten 

Computereinheit U gebildeten Sitzungsschlussel K unter Ver- 
wendung der Verschlusselungsfunktion Enc verschlusselt wird 
und das Ergebnis mit der Antwort A auf Ubereinstimmung ge- 
pruft wird. Diese Vorgehensweise wird z. B. auch verwendet, 
35 wenn die Antwort A in der zweiten Computereinheit N gebildet 
wird, indem auf den Sitzungsschlussel K die dritte Hash-Funk- 
tion h3 angewendet wird. In diesem Fall wird in der ersten 
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Computereinheit U der in der ersten Computereinheit U ge- 
bildete Sitzungsschlussel K als EingangsgroSe der dritten 
. Hash-Funktion h3 verwendet • Der "gehashte" Wert des in der 
ersten ^Computereinheit U gebildeten Sitzungsschlussels K wird 
5 dann mit der Antwort A auf Ubereinstimmung gepruft. Damit 

wird das Ziel der Schlusselbestatigung des Sitzungsschlussels 
K erreicht . 

Dadurch, daS bei der Berechnung des Sitzungsschlussels K in 
der zweiten Computereinheit N der geheime Netzschlussel s und 
bei der Berechnung des Sitzungsschlussels K in der ersten 
Computereinheit U der offentliche Netzschlussel g s verwendet 
werden, wird die zweite Computereinheit N durch die erste 
Computereinheit U authentif iziert . Dies wird erreicht, vor- 
ausgesetzt dafi fur die erste Computereinheit U bekannt ist, 
daS der offentliche Netzschlussel g s tatsachlich zur zweite 
Computereinheit N gehort . 

Im AnschluS an die Bestatigung des Sitzungsschlussels K durch 
2 0 Uberprufung der Antwort A wird ein Signaturterm berechnet . 
Hierzu wird mit Hilfe einer zweiten Hash-Funktion h2 eine 
vierte EingangsgroSe gebildet. Die zweite Hash-Funktion h2 
kann, muE aber nicht dieselbe Hash-Funktion sein wie die er- 
ste Hash-Funktion hi. Als eine dritte Eingangsgrofie fur die 

2 5 zweite Hash-Funktion h2 wird ein Term verwendet, der minde- 

stens den Sitzungsschlussel K enthalt . Weiterhin kann die 
dritte EingangsgroSe das optionale erste Datenfeld datl oder 
auch ein optionales zweites Datenfeld dat2 enthalten, wenn 
deren Verwendung in dem erf indungsgemaEen Verfahren vorgese- 

3 0 hen wird. 

Es kann spater nicht abgestritten werden, dafi die Daten, die 
im ersten optionale Datenfeld datl und im zweiten optionalen 
Datenfeld dat2 enthalten sind, von der ersten Computereinheit 
3 5 U gesendet wurden . 
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Die in dem ersten optionalen Datenfeld datl und in dem zwei- 
ten optionalen Datenfeld dat2 enthaltenen Daten konnen z. B. 
Telefonnuinmern, die aktuelle Zeit oder ahnliche hierfur ge- 
eignete Parameter sein. Diese Information kann als Werkzeug 
5 fur eine unanf echtbare Gebuhrenabrechnung verwendet werden. 

Unter Verwendung einer ersten Signaturf unktion Sig v wird der 
Signaturterm aus mindestens der vierten EingangsgroSe gebil- 
det. Urn einen hoheren Sicherheitsgrad zu erzielen, kann der 
10 Signaturterm verschlusselt werden. Der Signaturterm wird in 
diesem Fall mit dem Sitzungsschlussel K unter Verwendung der 
Verschlusselungsfunktion Enc verschlusselt und bildet den er- 
sten verschlusselten Term VT1 . 

15 AuSerdem wird, falls das Sicherheitsziel "Anonymitat des Be- 
nutzers" realisiert werden soil, ein zweiter verschlusselter 
Term VT2 berechnet, in dem eine Identitatsgrofie IMUI der er- 
sten Computereinheit U mit dem Sitzungschlussel K mit Hilfe 
der Verschlusselungsfunktion. Enc verschlusselt wird. Bei Ver- 

2 0 wendung eines optionalen zweiten Datenfeldes dat2 wird in der 
ersten Computereinheit U ein dritter verschlusselter Term VT3 
berechnet, indem das optionale zweite Datenfeld dat2 mit dem 
Sitzungsschlussel K unter Verwendung der Ver- 
schlusselungsfunktion Enc verschlusselt wird # das optionale 

25 zweite Datenfeld dat2 kann auch unverschlusselt ubertragen 
werden . 

In der ersten Computereinheit U wird eine dritte Nachricht M3 
gebildet und codiert, die mindestens den Signaturterm und die 
30 Identitatsgrofie IMUI der ersten Computereinheit U aufweist. 

Falls die Anonymitat der' ersten Computereinheit U gewahrlei- 
stet werden soil, weist die dritte Nachricht M3 anstatt der 
Identitasgrofie IMUI der ersten Computereinheit U mindestens 
35 den zweiten verschlusselten Term VT2 auf , der die Information 
uber die Identitat der ersten Computereinheit U in ver- 
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schlusselter Form enthalt, .die nur von der zweiten Compu- 
tereinheit N entschlusselt werden kann. 

Wenn die Verwendung des optionalen zweiten Datenfelds dat2 
vorgesehen wird, weist die dritte Nachricht M3 zusatzlich 
mindestens den dritten verschlusseiten Term VT3 oder das op- 
tionale zweite Datenfeld dat2 im Klartext auf. 

Wenn die dritte Nachricht M3 den ersten verschlusseiten Term 
VT1, den zweiten verschlusseiten Term VT2 oder den dritten 
verschlusseiten Term VT3 enthalt, werden diese in der zweiten 
Computereinheit N entschlusselt. Dies geschieht fur den even- 
tuell vorhandenen ersten verschlusseiten Term VT1 . vor der Ve- 
rif ikation des Signaturterms . 

Die dritte Nachricht M3 wird von der ersten Computereinheit U 
zu der zweiten Computereinheit N ubertragen. 

Zusatzlich wird die Authentif ikation der ersten Computerein- 
heit U gegenuber der zweiten Computereinheit N durch den Si- 
gnat urterm gewahrleistet, durch deren Verwendung garantiert 
wird, daE die dritte Nachricht M3 tatsachlich aktuell von der 
ersten Computereinheit U gesendet wurde. 

25 In der zweiten Computereinheit N wird die dritte Nachricht M3 
decodiert und anschlieEend wird anhand eines Benuterzertif i- 
kats CertU, das der zweiten Computereinheit N zur Verfugung 
steht, der Signaturterm verifiziert. 

3 0 Wenn fur das erf indungsgemaSe Verfahren temporare Benutzeri- 
dentitaten vorgesehen werden, so wird das im vorigen be- 
schriebene Verfahren um einige Verf ahrensschritte erweitert. 

Zuerst muS der zweiten Computereinheit N bekannt gemacht wer- 
3 5 den, welche erste Computereinheit U eine neue temporare Iden- 
titatsgroEe TMUIN von der zweiten Computereinheit N zugewie- 
sen bekommen soil . 
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Hierzu wird als zusatzlicher Bestandteil der ersten Nachricht 
Ml eine alte temporare Identitatsgrofie TMUIO von der ersten 
Computereinheit U an die zweite Computereinheit N ubertragen. 

5 

Nach Empfang der ersten Nachricht Ml ist somit in der zweiten 
Computereinheit N bekannt, fur welche erste Computereinheit U 
die neue temporare IdentitatsgroSe TMUIN bestimmt ist. 

10 In der zweiten Computereinheit N wird dann die neue temporare 
IdentitatsgroSe TMUIN. fur die erste Computereinheit U ge- 
bildet. Dies kann z. B. durch Generierung einer Zufallszahl 
oder durch Tabellen, in denen mogliche IdentitatsgroSen abge- 
speichert sind, durchgefuhrt werden. Aus der neuen temporaren 

15 Identitatsgrofie TMUIN der ersten Computereinheit U wird iri 
der zweiten Computereinheit N ein vierter verschlusselter 
Term VT4 gebildet, indem die neue temporare Identitatsgrofie 
TMUIN der ersten Computereinheit U mit dem Sitzungsschlussel 
K unter Verwendung der Verschlusselungsf unktion Enc ver- 

2 0 schlusselt wird. 

In diesem Fall weist die zweite Nachricht N2 zusatzlich min- 
destens den vierten verschlusselten Term VT4 auf . Der vierte 
verschlusselte Term VT4 wird dann in der ersten Computerein- 
25 heit U entschlusselt . Nun ist die neue temporare Identitats- 
gorSe TMUIN der ersten Computereinheit U in der ersten Compu- 
tereinheit U verf ugbar . 

Damit der zweiten Computereinheit N auch gewahrleistet wird, 
30 daS die erste Computereinheit U die neue temporare Identi- 
tatsgrofie TMUIN korekt empfangen hat, weist die dritte Ein- 
gangsgrofie fur die erste Hash-Funkt ion hi oder fur die zweite 
Hash-Funktion h2 zusatzlich mindestens die neue temporare 
Identitatsgrofie TMUIN der ersten Computereinheit U auf. 

35 

Da die Information der neuen temporaren IdentitatsgroSe TMUIN 
in dem Signaturterm in diesem Fall enthalten ist, weist die 
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dritte Nachricht M3 nicht mehr die Identitatsgrofie IMUI der 
ersten Computereinheit U auf. 

Es ist.auch moglich, die neue temporare IdentitatsgroSe TMUIN 
5 nicht in den Signaturterm zu integrieren, sondern den zweiten 
verschlusselten Term VT2 zu bilden, indem anstant der Identi- 
tatsgroSe IMUI der ersten Computereinheit U die neue tempo- 
rare IdentitatsgroSe TMUIN mit dem Sitzungsschlussel K unter 
Verwendung der Verschlusselungsf unktion Enc verschlusselt 
10 wird. In diesem Fall weist die dritte Nachricht M3 zusatzlich 
den zweiten verschlusselten Term VT2 auf. 

Die in dem erf indungsgemafien Verfahren verwendeten Hash-Funk- 
tionen, die erste Hash-Funktion hi, die zweite Hash-Funktion 
15 h2 und die dritte Hash-Funktion h3 konnen durch die gleiche, 
aber auch durch verschiedene Hash-Funktionen realisiert wer- 
den. 

Zweites Ausf iihrungsbeispiel 

20 

In den Figuren 3 und 4 sind durch zwei Skizzen der Ablauf ei- 
nes zweiten Ausf uhrungsbeispiels des erf indungsgemaSen Ver- 
f ahrens dargestellt . 

25 Fur dieses Ausf uhrungsbei spiel des Verfahrens wird vor- 

.ausgesetzt, daS in der ersten Computereinheit U ein vertrau- 

u 

enswurdiger offentlicher Benut zerschlussel g der ersten Com- 
putereinheit U z. B. in Form eines Benutzerzertif ikats CertU 
verfugbar gemacht wird und daS in der zweiten Computereinheit 

30 N ein vertrauenswurdiger offentlicher Netzschlussel g s der 

zweiten Computereinheit N z. B. in Form eines Netzzertif ikats 
CertN verfugbar gemacht wird. Der offentliche Netzschlussel 
g s muS nicht in der ersten Computereinheit U verfugbar sein. 
Ebenso ist es nicht notig, daS der offentliche Benut- 

3 5 zerschlussel g U in der zweiten Computereinheit N verfugbar 

ist . 
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In der ersten Computereinheit U wird eine erste Zufallszahl t 
generiert . Aus der ersten Zufallszahl t wird mit Hilfe des 
• erzeugenden Elements g einer endlichen Gruppe in der ersten 
Computereinheit U ein erster Wert gt gebildet . 

5 

Nach der Berechnung des ersten Werts g t wird eine erste Nach- 
richt Ml codieirt, die mindestens den ersten Wert gt und eine 
Identitatsangabe id^A einer Zertif izierungscomputereinheit 
CA, die das Netzzertif ikat CertN liefert, das von der ersten 
10 Computereinheit U verifiziert werden kann, aufweist. Die er- 
ste Nachricht -Ml wird von der ersten Computereinheit U an die 
zweite Computereinheit N ubertragen. 

In der zweiten Computereinheit N wird die erste Nachricht Ml 
15 decodiert . Die erste Nachricht Ml kann auch uber einen unsi- 
cheren Kanal, also auch uber eine Luf tschnittstelle, unver- 
schlusselt ubertragen werden, da die Logarithmierung des er- 
sten Wertes g t nicht in vertretbarer Zeit durchgefuhrt werden 
kann. 

20 

Wie in Figur 4 beschrieben, kann es vorgesehen sein, daS in 
der zweiten Computereinheit N eine zweite Zufallszahl r gene- 
riert wird. Durch diesen zusatzlichen Verf ahrensschritt wird 
ein zusatzliches Sicherheitsziel realisiert: die Zusicherung 
25 der Frische (Aktualitat) eines im folgenden beschriebenen 
Sitzungsschlussels K fur die zweite Computereinheit N. 

In der zweiten Computereinheit N wird mit Hilfe einer ersten 
Hash-Funktion hi ein Sitzungsschlussel K gebildet. Als eine 
3 0 erste EingangsgroSe der ersten Hash-Funktion hi wird ein er- 
ster Term verwendet . Der erste Term wird gebildet, indem der 
erste Wert g t potenziert wird mit einem geheimen Netzschlus- 
sel s . 

35 Wenn die zweite Zufallszahl r verwendet wird, so weist die 
erste Eingangsgrofie der ersten Hash-Funktion hi zusatzlich 
mindestens die zweite Zufallszahl r auf . Nun wird in der 
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zweiten Computereinheit N eine Antwort A gebildet . Zur Bil- 
dung der Antwort A sind verschiedene Varianten vorgesehen. Es 
.ist z. B. moglich, daS mit dem Sitzungsschlussel K unter Ver- 
wendung. einer Verschlusselungsf unktion Enc eine Konstante 
5 const verschlusselt wird. Die Konstante const ist sowohl der 
ersten Computereinheit U als auch der zweiten Computereinheit 
N bekannt. Auch die Verschlusselungsf unktion Enc ist sowohl 
• der zweiten Computereinheit N als auch der ersten Compu- 
tereinheit U als die in dem erf indungsgemaSen Verfahren zu 
10 verwendende Verschlusselungsf unktion bekannt. 

Eine weitere Moglichkeit, die Antwort A zu bilden liegt z. B. 
darin, daS der Sitzungsschlussel K als EingangsgroSe fur eine 
dritte Hash-Funktion h 3 verwendet wird und der " gehashte" 

15 Wert des Sitzungsschlussels K als Antwort verwendet wird. - 

Weitere Moglichkeiten, die Antwort A zu bilden, die zur Uber- 
prufung des Sitzungsschlussels K in der ersten Computerein- 
heit U verwendet wird, sind dem Fachmann gelaufig und konnen 
als Varianten zu den beschriebenen Vorgehensweisen verwendet 

20 werden. 

Eine Aneinanderreihung der zweiten Zufallszahl r, des Netz- 
zertifikats CertN, der Antwort A, sowie ein optionales erstes 
Datenf eld datl bilden eine zweite Nachricht M2 . Die zweite 
25 Zufallszahl r und das optionale erste Datenfeld datl sind nur 
in der zweiten Nachricht M2 enthalten, wenn diese in dem er- 
f indungsgemafien Verfahren vorgesehen sind. 

Die zweite Nachricht M2 wird in der zweiten Computereinheit N 
3 0 codiert und zu der ersten Computereinheit U ubertragen. 

In der ersten Computereinheit U wird die zweite Nachricht M2 
decodiert, so daS die erste Computereinheit U eventuell die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
3 5 tionale erste Datenfeld datl zur Verfugung hat. Die Lange des 
optionalen ersten Datenfeldes datl kann beliebig groS sein, 
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d. h. es ist auch moglich, dafi das optionale erste Datenfeld 
datl nicht vorhanden ist, 

AnschlieSend wird das in der zweiten Nachricht M2 enthaltene 
5 Netzzertif ikat CertN in der ersten Computereinheit verifi- 
ziert. Somit steht der offentliche Netzschlussel g s in der 
ersten Computereinheit U zur Verfugung. 

In der ersten Computereinheit U wird nun ebenfalls der Sit- 
10 zungsschlussel K gebildet, mit Hilfe der ersten Hash-Funktion 
hi, die sowohl in der zweiten Computereinheit N als auch in 
der ersten Computereinheit U bekannt ist, Eine zweite Ein- 
gangsgrofie der ersten Hash-Funktion hi zur Bildung des Sit- 
zungsschlussels K in der ersten Computereinheit U weist min- 
15 . destens einen zweiten Term auf . Der zweite Term wird gebildet 
aus einer Exponentation eines offentlichen Netzschlussels g s 
mit der ersten Zufallszahl t. Wenn die Verwendung der zweiten 
Zufallszahl r in dem erf indungsgemaSen Verfahren vorgesehen 
wird, so weist die zweite EingangsgroSe der ersten Hash- 

2 0 Funktion hi zur Bildung des Sitzungsschlussels K in der er- 

sten Computereinheit U zusatzlich die zweite Zufallszahl r 
auf. 

Durch die Verwendung der ersten Zufallszahl t und der zweiten 
25 Zufallszahl r bei der Generierung des Sitzungsschlussels K 
wird die Aktualitat des Sitzungsschlussels K gewahrleistet , 
da jeweils die erste Zufallszahl t als auch die zweite Zu- 
fallszahl r nur fur jeweils einen Sitzungsschlussel K ver- 
wendet werden. 

30 

Somit wird eine Wiedereinspielung eines alteren Schlussels 
als Sitzungsschlussel K verhindert . Die Aktualitat des Sit- 
zungsschlussels K ist auch bedeutend im Zusammenhang mit der 
Fragestellung, wie groS die erste Zufallszahl t sowie die 

3 5 zweite Zufallszahl r sein mussen. Dies wird deutlich, da eine 

geringere Lange der Zuf allszahlen das DLP-Problem verringern, 
d. h. je kurzer die Zufallszahl ist, desto einfacher ist die 
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Logari third erung, also z. B.. das Herausfinden der ersten Zu- 
fallszahl t aus dem ersten Wert g t . Wenn aber fur jeden neuen 
Sitzungsschlussel K andere Zuf allszahlen verwendet werden, so 
ist die Wahrscheinlichkeit, da£ der verwendete Sitzungs- 
5 schlussel K von einem unbefugten Dritten schon herausgef unden 
wurde, wesentlich geringer.' Damit ist die Gefahr, daS der 
Teil einer Nachricht, der mit dem Sitzungsschlussel K ver- 
schlusselt ist, von einem unbefugten Dritten entschlusselt 
werden kann, erheblich reduziert. 

10 

Nachdem in der- ersten Computereinheit U der Sitzungsschlussel 
K gebildet wurde, wird anhand der empfangenen Antwort A uber- 
pruft, ob der in der ersten Computereinheit U gebildete Sit- 
zungsschlussel K mit dem Sitzungsschlussel K, der in der 
15 zweiten Computereinheit N gebildet wurde, ubereinstimmt . . 

Abhangig von den im vorigen beschriebenen Varianten zur Bil- 
dung der Antwort A sind verschiedene Moglichkeiten vorgese- 
hen, den Sitzungsschlussel K anhand der Antwort A zu uberpru- 
0. fen. 

Eine Moglichkeit besteht z. B. darin, daS, wenn die Antwort A 
in der zweiten Computereinheit N durch Verschlusselung der 
Konstante const mit dem Sitzungsschlussel K unter Verwendung 
25 der Verschlusselungsf unktion Enc gebildet wurde, die Antwort 
A entschlusselt wird, und somit die erste Computereinheit U 
eine entschlusselte Konstante const' erhalt, die mit der be- 
kannten Konstante const verglichen wird. 

3 0 Die Uberprufung des Sitzungsschlussels K anhand der Antwort A 
kann auch durchgefuhrt werden, indem die der ersten Compu- 
tereinheit U bekannte Konstante const mit dem in der ersten 
Computereinheit U gebildeten Sitzungsschlussel K unter Ver- 
wendung der Verschlusselungsfunktion Enc verschlusselt wird 

3 5 und das Ergebnis mit der Antwort A auf Ubereinstimmung ge- 
pruft wird. Diese Vorgehensweise wird z. B. auch verwendet, 
wenn die Antwort A in der zweiten Computereinheit N gebildet 
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wird, in dem auf den Sitzungsschlussel K die dritte Hash- 
Funktion h3 angewendet wird. In diesem Fall wird in der er- 
sten Computereinheit U der in der ersten Computereinheit U 
gebildete Sitzungsschlussel K als EingangsgroSe der dritten 
5 Hash-Funktion h3 verwendet. Der "gehashte" Wert des in der 

ersten Computereinheit U gebildeten Sitzungsschlussels K wird 
dann mit der Antwort A auf Ubereinstimmung gepruft. Damit 
wird das Ziel der Schlusselbestatigung des Sitzungsschlussels 
K erreicht . 

10 

Dadurch, daS bei der Berechnung des Sitzungsschlussels K in 
der zweiten Computereinheit N der geheime Netzschlussel s und 
bei der Berechnung des Sitzungsschlussels K in der ersten 
Computereinheit U der offentliche Netzschlussel g s verwendet 
15 werden, wird die zweite Computereinheit N durch die erste- 
Computereinheit U authentif iziert . Dies wird erreicht, vor- 
ausgesetzt dafi fur die erste Computereinheit U bekannt ist, 
dafi der offentliche Netzschlussel gS tatsachlich zur zweiten 
Computereinheit N gehort . 

20 

Im Anschlufi an die Bestatigung des Sitzungsschlussels K durch 
Uberprufung der Antwort A wird ein Signaturterm berechnet . 
Hierzu wird mit Hilfe einer zweiten Hash-Funktion h2 eine 
vierte EingangsgroSe gebildet. Die zweite Hash-Funktion h2 

25 kann, muS aber nicht dieselbe Hash-Funktion sein wie die er- 
ste Hash-Funktion hi. Als eine dritte EingangsgroSe fur die 
zweite Hash-Funktion h2 wird ein Term verwendet, der minde- 
stens den Sitzungsschlussel K enthalt. Weiterhin kann die 
dritte EingangsgroSe das optionale erste Datenfeld datl oder 

30 auch ein optionales zweites Datenfeld dat2 enthalten, wenn 

deren Verwendung in dem erf indungsgemaEen Verfahren vorgese- 
hen wird. 

Es kann spater nicht abgestritten werden, dafi die Daten, die 
35 im ersten optionale Datenfeld datl und im zweiten optionalen 
Datenfeld dat2 enthalten sind, von der ersten Computereinheit 
U gesendet werden . 
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Die in dem ersten optionalen Datenfeld datl und in dem zwei- 
ten optionalen Datenfeld dat2 enthaltenen Daten konnen z. B. 
Telef onnummern, die aktuelle Zeit oder ahnliche hierfur ge- 
5 eignete Parameter sein. Diese Information kann als Werkzeug 
fur eine unanf echtbare Gebuhrenabrechnung verwendet werden . 

Unter Verwendung einer ersten Signaturf unktion Sigy wird der 
Signaturterm aus mindestens der vierten EingangsgroSe gebil- 
10 det. Um einen hoheren Sicherheitsgrad zu erzielen, kann der 
Signaturterm verschlusselt werden. Der Signaturterm wird in 
diesem Fall mit dem Sitzungsschlussel K unter Verwendung der 
Verschlusselungsf unktion Enc verschlusselt und bildet den er- 
sten verschlusselten Term VT1 . 

15 

Aufierdem wird, falls das Sicherheitsziel "Anonymitat des Be- 
nutzers" realisiert werden soil, ein zweiter verschlusselter 
Term VT2 berechnet, in dem ein Benutzerzertif ikat CertU der 
ersten Computereinheit U mit dem Sitzungschlussel K mit Kilfe 

2 0 der Verschlusselungsf unktion Enc verschlusselt wird. Bei Ver- 

wendung eines optionalen zweiten Datenfeldes dat2 kann in der 
ersten Computereinheit U ein dritter verschlusselter Term VT3 
berechnet werden, indem das optionale zweite Datenfeld dat2 
mit dem Sitzungsschlussel K unter Verwendung der Verschlusse- 
25 lungsf unktion Enc verschlusselt wird. Das optionale zweite 

Datenfeld dat2 kann ebenso unverschluselt ubertragen werden. 

In der ersten Computereinheit U wird eine dritte Nachricht M3 
gebildet und codiert, die mindestens den Signaturterm und das 

3 0 Benutzerzertif ikat CertU der ersten Computereinheit U auf- 

weist. Falls die Benutzeranonymitat der ersten Computerein- 
heit U gewahrleistet werden soil, weist die dritte Nachricht 
M3 anstatt des Benutzerzertif ikats CertU der ersten Compu- 
tereinheit U mindestens den zweiten verschlusselten Term VT2 
3 5 auf, der das Benutzerzertif ikat CertU der ersten Computerein- 
heit U in verschlusselter Form enthalt, die nur von der zwei- 
ten Computereinheit N entschlusselt werden kann. 
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Wenn die Verwendung des optionalen zweiten Datenfelds dat2 
vorgesehen wird, weist die dritte Nachricht M3 zusatzlich 
mmdestens den dritten verschlusselten Term VT 3 auf Wenn 
die dritte Nachricht M3 den ersten verschlusselten Tern, VT1 
den zweiten verschlusselten Term VT2 oder den dritten ver- ' 
schlusselten Term VT3 auf weist, werden diese in der zweiten 
Computereinheit N entschlusselt . Dies geschieht fur den even- 
tual vorhandenen ersten verschlusselten Term VT1 vor der Ve- 
nfikation des Signaturterms . 

zfdef tte -r ChriCht ^ ^ SrSten computereinheit U 

zu der zweiten Computereinheit N ubertragen. 

Zusatzlich wird die Authentif ikation der ersten Computerein- 
heit U gegenuber der zweiten Computereinheit N durch den si- 
gnature gewahrleistet, durch deren Verwendung garantiert 
wird, da£ die dritte Nachricht M3 tatsachlich aktuell von der 
ersten Computereinheit U gesendet wurde. 

Wenn fur das erf indungsgemaEe Verfahren temporare Benutze^i- 
dentitaten vorgesehen werden, so wird das im vorigen be- " 
schriebene Verfahren urn einige Verf ahrensschrit te erweitert . 

In der zweiten Computereinheit N wird fur die erste Compu- . 
terexnheit U eine neue temporare IdentitatsgroSe TMUIN gebil- 
det, die der ersten Computereinheit U im weiteren zugewiesen 
wid Dies kann z. B. durch Generierung einer Zufallszahl oder 
durch Tabellen, in denen mogliche Identitatsgr6*en abgespei 
chert smd, durchgefuhrt werden. Aus der neuen temp6raren 
Identitatsgrofie TMUIN der ersten Computereinheit U wird in 
der zweiten Computereinheit N ein vierter verschlusselter 
Term VT4 gebildet, indem die neue temporare IdentitatsgroSe 
TMUIN der ersten Computereinheit U mit dem Sit zungsschlussel 

UntSr Ve ^ndung der Verschlusselungsf unkt ion Enc ver- 
schlusselt wird. 
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In diesem Fall weist die zweite Nachricht M2 zusatzlich min- 
destens den vierten verschlusselten Term VT4 auf . Der vierte 
verschlusselte Term VT4 wird dann in der ersten Computerein- 
heit U entschlusselt. Nun ist die neue temporare Identitats- 
grofce TMUIN der ersten Computereinheit U in der ersten Compu- 
tereinheit U verfugbar. 

Damit der zweiten Computereinheit N auch gewahrleistet wird, 
da£ die erste Computereinheit U die neue temporare Identi- 
tatsgroSe TMUIN korrekt empfangen hat, weist die dritte Ein- 
gangsgroSe fur die erste Hash-Funktion hi oder fur die zweite 
Hash-Funktion h2 zusatzlich mindestens die neue temporare 
IdentitatsgroSe TMUIN der ersten Computereinheit U auf. 

15 Es ist auch moglich, die neue temporare IdentitatsgroSe TMUIN 
nicht in den Signaturterm zu integrieren, sondern den zweiten 
verschlusselten Term VT2 zu bilden, indem die neue temporare 
IdentitatsgroSe TMUIN der ersten Computereinheit U mit dem 
Sitzungsschlussel K unter Verwendung der Verschlusselungs- 

2 0 funktion Enc verschlusselt wird. In diesem Fall weist die 
dritte Nachricht M3 zusatzlich den zweiten verschlusselten 
Term VT2 auf. 



25 



30 



Drittes Ausfuhrungsbeispiel 

In den Figuren 5a, b sind durch zwei Skizzen der Ablauf eines 
dritten Ausf uhrungsbeispiels dargestellt. 

Fur diese Weiterbildung des Verfahrens wird vorausgesetzt , 
daS in der ersten Computereinheit U kein vertrauenswurdiger 
offentlicher Net zschlussel g s der zweiten Computereinheit N 
verfugbar ist. In der Benutzercomputerenheit U ist ein ver- 
trauenswurdiger offentlicher Zertif izierungsschlussel g" der 
Zertif izierungscomputereinheit CA verfugbar, wobei g ein er- 
zeugendes Element einer endlichen Gruppe ist. Dies bedeutet, 
daS die erste Computereinheit U sich den vertrauenswurdigen 
offentlichen Netzschlussel gS ± n Form eines Netzzertif ikats 
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CertN von einer Zertif izierungscomputereinheit CA "besorgen" 
mufi. Ebenso braucht die zweiten Computereinheit N den ver- 
trauenswurdigen offentlichen Benutzerschussel g U in Form ei- 

nes Benutzerzertifikats CertU von der Zertif izierungscompu- 
tereinheit CA. 

In der ersten Computereinheit U wird eine erste Zufallszahl t 
genenert. Aus der ersten Zufallszahl t wird mit Hilfe des 
erzeugenden Elements g einer endlichen Gruppe in der ersten 
Computereinheit U ein erster Wert gt gebildet. 

Nach der Berechnung des ersten Werts gt wird eine erste Nach . 
ncht Ml codiert, die mindestens den ersten Wert gt, e ine 
IdentitatsgroSe IMUI der ersten Computereinheit U and eine 
IdentitatsgroSe id CA einer Zertif izierungscomputereinheit CA 
die ein Netzzertif ikat CertN liefert, das von der ersten Com- 
putereinheit U verifiziert werden kann, aufweist. Dies ist 
notxg, wenn mehrere Zertif izierungsinstanzen mit unter- 
schiedlichen geheimen Zertif izierungsschlusseln vorgesehen 
werden. wenn das Sicherheitsziel der Benutzeranonymitat rea- 
lxsi«t werden soli, wird in der ersten Computereinheit U vor 
BUdung der ersten Nachricht Ml ein Zwischenschlussel L ge- 
baldet. Dies geschieht durch Potenzierung des offentlichen 
Zertifizierungsschlussels gU mit der ersten Zufallszahl t Im 
wexteren wird. in diesem Fall die IdentitatsgroSe IMUI der er- 
sten Computereinheit U mit dem Zwischenschlussel L unter An- 
wendung einer Verschlusselungsf unktion Enc verschlusselt und 
das Ergebnis stellt einen vierten verschlusselten Term VT4 
dar. Der vierte verschlusselte Term VT4 wird anstatt der 
IdentitatsgroSe IMUI der ersten Computereinheit U in die er- 
ste Nachricht Ml integriert . Die erste Nachricht Ml wird von 
der ersten Computereinheit U an die zweiten Computereinheit N 
ubertragen . 

In der zweiten Computereinheit N wird die erste Nachricht Ml 
decodiert. Die erste Nachricht Ml kann auch uber einen unsi- 
cheren Kanal, also auch uber eine Luf tschnittstelle, unver- 
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schlusselt ' ubertragen werden, da die Logarithmierung des er- 
sten Wertes g fc nicht in vertretbarer Zeit durchgefuhrt werden 
kann . 

5 In der zweiten Computereinheit N wird die erste Nachricht Ml 
decodiert, und eine vierte 'Nachricht M4 gebildet, die eine 
Verkettung des der zweiten Computereinheit N bekannten 6f- 
fent lichen Netzschlussels g s , dem ersten Wert g fc und der 
IdentitatsgroSe IMUI der ersten Computereinheit U, sowie ei- 

10 nem ersten signierten Term aufweist. Der erste signierte Term 
wird gebildet durch Anwendung einer zweiten Signa turf unkt ion 
Sigjsj auf einen ersten Signatureingangsterm. Der erste Signa- 
tureingangsterm weist mindestens ein Ergebnis einer dritten 
Hash-Funktion h3 auf, die auf mindestens eine Verkettung des 

15 offentlichen Netzschlussels g s , des ersten Werts und der 
IdentitatsgroSe IMUI der ersten Computereinheit U angewendet 
wird. In dem Fall, daS das Sicherheitsziel der Benutzeranony- 
mitat realisiert werden soli, wird in der vierten Nachricht 
M4 anstatt der Identitatsgrofie IMUI der ersten Computerein- 

2 0 heit U der vierte verschlusselte Term VT4 codiert . In diesem 

Fall weist auch die Verkettung, auf die die dritte Hash-Funk- 
tion h3 angewendet wird, anstatt der IdentitatsgroSe IMUI der 
ersten Computereinheit U den vierten verschlusselten Term VT4 
auf . 

25 

Die zweite Signaturf unkt ion Sig^j kann, muS aber nicht gleich 
sein der ersten Signaturf unkt ion Sig^- 

Die vierte Nachricht M4 wird in der zweiten Computereinheit N 

3 0 codiert und anschlieSend an die Zertif izierungscomputerein- 

heit CA ubertragen. 

In der Zertif izierungscomputereinheit CA wird die vierte 
Nachricht M4 decodiert und mit dem offentlichen Schlussel g s , 
35 der der Zertif izierungscomputereinheit CA bekannt ist, veri- 
fiziert. Damit wird die zweiten Computereinheit N als Sender 
der vierten Nachricht M4 authentif iziert . 
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AnschlieSend wird, falls die Benutzeranonymitat gewahrleistet 
wird, also der vierte verschlusselte Term VT4 in der vierten 
Nachricht M4 mitgesendet wurde, in der Zertif izierungscompu- 
5 tereinheit CA der Zwischenschlussel L berechnet, indem der 
erste Wert gt mit einem geheimen Zertif izierungsschlussel u 
der Zertif izierungscomputereinheit CA potenziert wird. 

Mit dem Zwischenschlussel L wird unter Verwendung der Ver- 
io schlusselungsfunktion Enc der vierte verschlusselte Term VT4 
entschlusselt, womit in der Zertif izierungscomputereinheit CA 
die IdentitatsgrolSe IMUI der ersten Computereinheit U bekannt 
ist . 

15 In der Zertif izierungscomputereinheit CA wird dann das Benut- 
zerzertif ikat CertU ermittelt. Das Benutzerzertif ikat CertU 
kann z. B. aus einer der Zertif izierungscomputereinheit CA 
eigenen Datenbank ermittelt werden, die alle Zertifikate der 
Computereinheiten enthalt, fur die die Zertif izierungscompu- 

20 tereinheit CA Zertifikate erstellt. 

Urn die Gultigkeit des Netzzertif ikats CertN und des Benutzer- 
zertifikats CertU zu uberprufen, wird eine Identitatsangabe 
id N und der in der vierten Nachricht mitgesendete offentliche 
25 Netzschlussel. g s, die IdentitatsgroSe IMUI der ersten Compu- 
tereinheit U sowie das ermittelte Benutzerzertif ikat CertU 
mit einer Revokationsliste verglichen, in der ungultige Zer- 
tifikate, Schlussel oder IdentitatsgroEen aufgefuhrt sind. 



30 



AnschlieSend wird aus mindestens einer Verkettung des ersten 
Werts g c , des offehtlichen Netzschlussels g s und der Identi- 
tatsangabe id N der zweiten Computereinheit N ein dritter Term 
gebildet . 



35 



Der dritte Term wird mit Hilfe einer vierten Hash-Funktion h4 
"gehasht" und das Ergebnis der Hash-Funktion h4 wird unter 
Verwendung einer dritten Signaturf unktion Sig CA signiert. Ein 
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Netzzertif ikat CertN wird nun in der Zertif izierungscomputer- 
einheit CA gebildet, wobei das Netzzertif ikat CertN minde- 
stens den dritten Term und den signierten Hash-Wert des drit- 
ten Terms aufweist. 

5 

Weiterhin wird beispielsweise in der Zertif izierungscompu- 
tereinheit CA ein Zeitstempel TS kreiert. 

In der Zertif izierungscomputereinheit CA wird auSerdem ein 
10 funfter Term gebildet, der mindestens eine Verkettung des 

Zeitstempel s TS, der Identitatsangabe id N der zweiten Compu- 
tereinheit N und des Benutzerzertif ikats CertU aufweist. 

Ein zweiter signierter Term wird gebildet durch Anwendung der 
15 dritten Signaturf unktion Sig CA auf einen zweiten Signaturein- 
gangsterm und den geheimen Zertif izierungsschlussel u. Der 
zweite Signatureingangsterm weist mindestens ein Ergebnis der 
vierten Hash-Funktion h4 auf, die auf mindestens den funften 
Term angewendet wird. 

20 

AnschlieSend wird ein sechster Term gebildet, der mindestens 
den funften Term und den signierten Hash-Wert des funften 
Terms aufweist. 

25 Eine in der Zertif izierungscomputereinheit CA gebildete funf- 
te Nachricht M5 weist mindestens eine Verkettung aus dem 
Netzzertif ikat CertN und dem sechsten Term auf. 

Die funfte Nachricht M5 wird in der Zertif izierungscomputer- 
3 0 einheit CA codiert und an die zweite Computereinheit N uber- 
tragen. Nachdem die funfte Nachricht in der zweiten Compu- 
tereinheit N decodiert ist, wird das Netzzertif ikat CertN und 
der zweite signierte Term verifiziert. 



3 5 In der zweiten Computereinheit N wird nun ein vierter Term 
gebildet, der mindestens eine Verkettung des offentlichen 



WO 96/37064 — PCT/DE96/00835 




31 

Netzschlussels gS und des signierten Hash-Werts des dritten 
Terms aufweist . 

In der zweiten Computereinheit N wird mit Hilfe einer erste.n 
5 Hash-Funktion hi ein Sitzungsschlussel K gebildet. Als eine 
erste EingangsgroSe der ersten Hash-Funktion hi wird eine 
Konkateriation eines ersten Terms mit der zweiten Zufallszahl 
r verwendet. Der erste Term wird gebildet, indem der erste 
Wert gt potenziert wird mit einem geheimen Netzschlussel s. 
10 Unter einer Hash-Funktion ist in diesem Zusammenhang eine 

Funktion zu verstehen, bei der es nicht moglich ist, zu einem 
gegebenen Funktionswert einen passenden Eingangswert zu be- 
rechnen. Fernder wird einer beliebig langen Eingangszeichen- 
folge eine Ausgangszeichenf olge fester Lange zugeordnet . Des 
15 weiteren wird fur die Hash-Funktion in diesem Zusammenhang 
Kollisionsfreiheit gefordert, d. h. es darf nicht moglich 
sein, zwei verschiedene Eingangszeichenf olgen zu finden, die 
dieselbe Ausgangszeichenf olge ergeben. Die zweite Zufallszahl 
r findet Verwendung, wie in den Figuren 2a, b beschrieben, 
wenn das zusatzliche Sicherheitsziel der Zusicherung der Fri- 
sche (Aktualitat) des Sitzungsschlussels K fur die zweiten 
Computereinheit N realisiert werden soil. 1st dieses Sicher- 
heitsziel nicht benotigt, wird die zweite Zufallszahl r nicht 
in dem erf indungsgemaSen Verfahren verwendet. 

Nun wird in der zweiten Computereinheit N eine Antwort A ge- 
bildet. Zur Bildung der Antwort A sind verschiedene Varianten 
vorgesehen. So ist es z. B. moglich. da£ mit dem Sitzungs- 
schlussel K unter Verwendung einer Verschlusselungsfunktion 
Enc eine Konstante const verschlussel t wird. Die Konstante 
const ist sowohl der ersten Computereinheit U als auch der 
zweiten Computereinheit N bekannt . Auch die Ver- 
schlusselungsfunktion Enc ist sowohl der zweiten Computerein- 
heit N als auch der ersten Computereinheit U als die in dem 
35 erf indungsgemafcen Verfahren zu verwendende Verschlusselungs- 
funktion bekannt . 



20 
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Eine weitere Moglichkeit, die Antwort A zu bilden liegt z. B. 
darin, daS der Sitzungsschlussel K als Eingangsgrofie fur eine 
. dritte Hash-Funktion h3 verwendet wird und der "gehashte" 
Wert des Sitzungsschlussels K als Antwort A verwendet wird. 
5 Weitere Moglichkeiten, die Antwort A zu bilden, die zur Uber- 
prufung des Sitzungsschlussels K in der ersten Computerein- 
heit U verwendet wird, sind dem Fachmann gelaufig und konnen 
als Variant en zu den beschriebenen Vorgehensweisen verwendet 
werden . 

10 

Eine Aneinanderreihung der zweiten Zufallszahl r, des vierten 
Terms der Antwort A, sowie ein optionales erstes Datenfeld 
datl bilden eine zweite Nachricht M2 . Die zweite Zufallszahl 
r und das optionale erste Datenfeld datl sind nur in der 
15 zweiten Nachricht M3 enthalten, wenn diese in dem erfindungs- 
gemaSen Verfahren vorgesehen werden. 

Die zweite Nachricht M2 wird in der zweiten Computereinheit N 
codiert und zu der ersten Computereinheit U ubertragen. 

20 

In der ersten Computereinheit U wird die zweite Nachricht M2 
decodiert, so daS die ersten Computereinheit U eventuell die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
tionale erste Datenfeld datl zur Verfugung hat. Die Lange des 
25 optionalen ersten Datenfeldes datl kann beliebig groS sein, 
d. h. es ist auch moglich, daS das optionale erste Datenfeld 
datl nicht vorhanden ist. 

In der ersten Computereinheit U wird nun ebenfalls der Sit- 
30 zungsschlussel K gebildet, mit Hilfe der ersten Hash-Funktion 
hi, die sowohl der zweiten Computereinheit N als auch der er- 
sten Computereinheit U bekannt ist. Eine zweite Eingangsgrofie 
der ersten Hash-Funktion hi zur Bildung des Sitzungsschlus- 
sels K in der ersten Computereinheit U weist mindestens einen 
3 5 zweiten Term auf . Der zweite Term wird gebildet aus einer Ex- 
ponentation eines offentlichen Netzschlussels g s mit der er- 
sten Zufallszahl t. Wenn die zweite Zufallszahl r in dem er- 
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f indungsgemafien Verfahren vorgesehen wird, so weist die zwei- 
te EingangsgroSe der ersten Hash-Funktion hi zur Bildung des 
Sitzungsschlussels K in der ersten Computereinheit U zu- 
satzlich die zweite Zufallszahl r auf. 

Durch die Verwendung der ersten . Zufallszahl t und der zweiten 
Zufallszahl r bei der Generierung des Sitzungsschlussels K 
wird die Aktualitat des Sitzungsschlussels K gewahrleistet , 
da jeweils die erste Zufallszahl t als auch die zweite Zu- 
fallszahl r nur fur jeweils einen Sitzungsschlussel K ver- 
wendet werden 



Somit wird eine Wiedereinspielung eines alteren Schlussels 
als Sitzungsschlussel K verhindert . Wenn aber fur jeden neu- 
15 en Sitzungsschlussel K andere Zuf allszahlen verwendet werden, 
so ist die Wahrscheinlichkeit , daS der verwendete Sitzungs- 
schlussel K von einem unbefugten Dritten schon herausgef unden 
wurde, wesentlich geringer . Damit ist die Gefahr, dafi der 
Teil einer Nachricht, der mit dem Sitzungsschlussel K ver- 
schlusselt ist, von einem unbefugten Dritten entschlusselt 
werden kann, erheblich reduziert . 



Nachdem in der ersten Computereinheit U der Sitzungsschlussel 
K gebildet wurde, wird anhand der empfangenen Antwort A uber- 

2 5 pruft, ob der in der ersten Computereinheit U gebildete Sit- 

zungsschlussel K mit dem Sitzungsschlussel K, der in der 
zweiten Computereinheit N gebildet wurde, ubereinstimmt . 

Abhangig von den im vorigen beschriebenen Varianten zur Bil- 

3 0 dung der Antwort A sind verschiedene Moglichkeiten vorgese- 

hen, den Sitzungsschlussel K anhand der Antwort A zu uberpru- 
f en . 



Eine Moglichkeit besteht z. B. darin, da£, wenn die Antwort A 
in der zweiten Computereinheit N durch Verschlusselung der 
Konstante const mit dem Sitzungsschlussel K unter Verwendung 
der Verschlusselungsfunktion Enc gebildet wurde, die Antwort 
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A entschlusselt wird, und somit die ersten Computereinheit U 
eine entschlusselte Konstante const' erhalt, die xnit der be- 
kannten Konstante const verglichen wird. 

5 Die Uberprufung des Sitzungsschlussels K anhand der Antwort A 
kann auch durchgefuhrt werden, indem die der ersten Compu- 
tereinheit U bekannte Konstante const mit dem in der ersten 
Computereinheit U gebildeten Sitzungsschlussel K unter Ver- 
wendung der Verschlusselungsf unktion Enc verschlusselt wird 

10 und das Ergebnis mit der Antwort A auf Ubereinstimmung ge- 
pruft wird. Diese Vorgehensweise wird z. B. auch verwendet, 
wenn die Antwort A in der zweiten Computereinheit N gebildet 
wird, indem auf den Sitzungsschlussel K die dritte Hash-Funk- 
tion h3 angewendet wird. In diesem Fall wird in der ersten 

15 Computereinheit U der in der ersten Computereinheit U ge-- 
bildete Sitzungsschlussel K als EingangsgroSe der dritten 
Hash-Funktion h3 verwendet. Der "gehashte" Wert des in der 
ersten Computereinheit U gebildeten Sitzungsschlussel K wird 
dann mit der Antwort A auf Ubereinstimmung gepruft. Damit 

20 wird das Ziel der Schlusseibestatigung des Sitzungsschlussels 
K erreicht . 

Dadurch, da£ bei der Berechnung des Sitzungsschlussels K in 
der zweiten Computereinheit N der geheime Netzschlussel s und 

25 bei der Berechnung des Sitzungsschlussels K in der ersten 

Computereinheit U der offentliche Netzschlussel g s verwendet 
werden, wird die zweiten Computereinheit N durch die ersten 
Computereinheit U authentif iziert . Dies wird erreicht, vor- 
ausgesetzt daS fur die ersten Computereinheit U bekannt ist, 

30 daS der offentliche Netzschlussel g s tatsachlich zur zweiten 
Computereinheit N gehort . 

Im AnschluS an die Bestatigung des Sitzungsschlussels K durch 
Uberprufung der Antwort A wird ein Signaturterm berechnet . 
35 Hierzu wird mit Hilfe einer zweiten Hash-Funktion h2 eine 
vierte Eingangsgrofce gebildet. Die zweite Hash-Funktion h2 
kann, mu£ aber nicht dieselbe Hash-Funktion sein wie die er- 
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ste Hash- Funkt ion hi. Als eine dritte EingangsgrdEe fur die 
zweite Hash-Funktion h2 wird ein Term verwendet, der minde- 
stens den Sitzungsschlussel K enthalt . Weiterhin kann die 
dritte .EingangsgrdEe das optionale erste Datenfeld datl oder 
5 auch ein optionales zweites Datenfeld dat2 enthalten, wenn 
deren Verwendung in dem erf indungsgemaSen Verfahren vorgese- 
hen wird. 

Es kann spater nicht abgestritten werden, daS die Daten, die 
0 im ersten optionale Datenfeld datl und im zweiten optionalen 
Datenfeld dat2 enthalten sind, von der ersten Computereinheit 
U gesendet werden. 



Die in dem ersten optionalen Datenfeld datl und in dem zwei- 
15 ten optionalen Datenfeld dat2 enthaltenen Daten kdnnen z. -B. 
Telefonnummern, die aktuelle Zeit oder ahnliche hierfur ge- 
eignete Parameter sein. Diese Information kann als Werkzeug 
fur eine unanf echtbare Gebuhrenabrechnung verwendet werden. 

2 0 Unter Verwendung einer ersten Signaturfunktion Sig n wird der 

Signaturterm aus mindestens der vierten EingangsgroSe gebil- 
det. Urn einen hoheren Sicherheitsgrad zu erzielen, kann der 
Signaturterm verschlussel t werden. Der Signaturterm wird in 
diesem Fall mit dem Sitzungsschlussel K unter Verwendung der 
25 Verschlusselungsfunktion Enc verschlusselt und bildet den er- 
sten verschlusselten Term VT1 . 

Bei Verwendung eines optionalen zweiten Datenfeldes dat2 wird 
in der ersten Computereinheit U ein dritter verschlusselcer 

3 0 Term VT3 berechnet, indem das optionale zweite Datenfeld dat2 

mit dem Sitzungsschlussel K unter Verwendung der Ver- 
schlusselungsfunktion Enc verschlusselt wird. Das optionale 
zweite Datenfeld dat2 kann auch unverschlusselt , also im 
Klartext ubertragen werden. 

35 



In der ersten Computereinheit U wird eine dritte Nachricht M3 
gebildet und codiert, die mindestens aus dem ersten ver- 



WO 96/37064 



PCI7DE96/00835 



36 

schlusselten Term VTl, und, wenn das optionale zweite Daten- 
feld dat2 verwendet wird, dem dritten verschlusselten Term 
VT3 oder dem optionalen zweiten Datenfeld dat2 im Klartext 
besteht. Die dritte Nachricht M3 wird von der ersten Compu- 
5 tereinheit U zu der zweiten Computereinheit N ubertragen. 

Zusatzlich wird die Authentif ikation der ersten Computerein- 
heit U gegenuber der zweiten Computereinheit N durch den Si- 
gnaturterm in der dritten Nachricht M3 gewahrleistet , durch 
10 deren Verwendung auch garantiert wird, dafi die dritte Nach- 
richt M3 tatsachlich aktuell von der ersten Computereinheit U 
gesendet wurde . 

In der zweiten Computereinheit N wird die dritte Nachricht M3 
15 decodiert und anschlieSend wird der erste verschlusselte Term 
VTl sowie eventuell der dritte verschlusselte Term VT3 ent- 
schlusselt. Anhand des Benuterzertif ikats CertU, das der 
zweiten Computereinheit N zur Verfugung steht, wird der Si- 
gnaturterm verifiziert. 

20 

Wenn die Verwendung des optionalen zweiten Datenfelds dat2 
vorgesehen wird, weist die dritte Nachricht M3 zusatzlich 
mindestens den dritten verschlusselten Term VT3 auf oder das 
optionale zweite Datenfeld dat2 in Klartext, wenn das optio- 

2 5 nale zweite Datenfeld dat2 in Klartext ubertragen werden 

soil. 

Wenn die dritte Nachricht M3 den ersten verschlusselten Term 
VTl, den zweiten verschlusselten Term VT2 oder den dritten 

3 0 verschlusselten Term VT3 aufweist, werden diese in der zwei- 

ten Computereinheit N entschlusselt . Dies geschieht fur den 
eventuell vorhandenen ersten verschlusselten Term VTl vor der 
Verif ikation des Signaturterms . 

3 5 Wenn fur das erf indungsgemaSe Verfahren temporare Benutzeri- 
dentitaten vorgesehen werden, so wird das im vorigen be- 
schriebene Verfahren um einige Verf ahrensschritte erweitert. 
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In der zweiten Computereinheit N wird fur die erste Compu- 
tereinheit U eine neue temporare IdentitatsgroSe TMUIN gebil- 
det, die der ersten Computereinheit U im weiteren zugewiesen 
5 wird. Dies kann z. B. durch Generierung einer Zufallszahl 

oder durch Tabeilen, in dehen mogliche IdentitatsgroSen abge- 
. speichert sind, durchgefuhrt werden. Aus der neuen temporaren 
IdentitatsgroSe TMUIN der ersten Computereinheit U wird in 
der zweiten Computereinheit N ein vierter versclilusselter 
10 Term VT4 gebildet, indem die neue temporare IdentitatsgroSe 
TMUIN der ersten Computereinheit U mit dem Sitzungsschlussel 
K unter Verwendung der Verschlusselungsf unktion Enc ver- 
schlusselt wird. 

15 In diesem Fall weist die zweite Nachricht M2 zusatzlich min- 
destens den vierten verschlusselten Term VT4 auf . Der vierte 
verschlusselte Term VT4 wird dann in der ersten Computerein- 
heit U entschlusselt. Nun ist die neue temporare Identitats- 
groSe TMUIN der ersten Computereinheit U in der ersten Compu- 

2 0 tereinheit U verf ugbar . 

Damit der zweiten Computereinheit N auch gewahrleistet wird, 
daS die erste Computereinheit U die neue temporare Identi- 
tatsgroSe TMUIN korrekt empfangen hat, weist die dritte Ein- 
25 gangsgroSe fur die erste Hash-Funktion hi oder fur die zweite 
Hash-Funktion h2 zusatzlich mindestens die neue temporare 
IdentitatsgroSe TMUIN der ersten Computereinheit U auf. 
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Patentanspruche 

. 1. Verfahren zum rechnergestutzten Austausch kryptographi- 
scher Schlussel zwischen einer ersten Computereinheit (U) und 
5 einer zweiten Computereinheit (N) , 

- bei dem aus einer ersten ' Zufallszahl (t) mit Hilfe eines 
erzeugenden Elements (g) einer endlichen Gruppe in der er- 
sten Computereinheit (U) ein erster Wert (g^) gebildet 
wird, 

10 - bei eine erste Nachricht (Ml) von der ersten Computerein- 
heit (U) an ..die zweite Computereinheit (N) ubertragen wird, 
wobei die ersten Nachricht (Ml) mindestens den ersten Wert 
(g t ) aufweist, 

- bei dem in der zweite Computereinheit (N) ein Sitzungs- 

15 schlussel (K) mit Hilfe einer ersten Hash-Funktion (hi) -ge- 
bildet wird, wobei eine erste EingangsgroSe der ersten 
Hash-Funktion (hi) mindestens einen ersten Term aufweist, 
der gebildet wird durch eine Exponentiation des ersten 
Werts (g t ) mit einem geheimen Netzschlussel (s) , 

2 0 - bei dem in der ersten Computereinheit (U) der Sitzungs- 

schlussel (K) gebildet wird mit Hilfe der ersten Hash-Funk- 
tion (hi), wobei eine zweite EingangsgroSe der ersten Hash- 
Funktion (hi) mindestens einen zweiten Term aufweist, der 
gebildet wird durch eine Exponentiation eines offentlichen 

25 Netzschlussels (g s ) mit der ersten Zufallszahl (t), 

- bei dem in der ersten Computereinheit (U) mit Hilfe einer 
zweiten Hash-Funktion (h2) oder der ersten Hash-Funktion 
(hi) eine vierte EingangsgroSe gebildet wird, wobei eine 
dritte EingangsgroSe fur die erste Hash-Funktion (hi) oder 

30 fur die zweite Hash-Funktion (h2) zur Bildung der vierten 

Eingangsgrofie mindestens den Sit zungsschlussel (K) auf- 
weist, 

- bei dem in der ersten Computereinheit (U) ein Signaturterm 
aus mindestens der vierten EingangsgroSe gebildet wird un- 

35 ter Anwendung einer ersten Signaturf unktion (Sig^) , 

- bei dem eine dritte Nachricht (M3) von der ersten Compu- 
tereinheit (U) an die zweite Computereinheit (N) ubertragen 
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wird, wobei die dritte Nachricht (M3) mindestens den Signa- 
turterm der ersten Computereinheit (U) aufweist, und 

- bei dem in der zweiten Computereinheit (N) der Signaturterm 
verifiziert wird. 

5 

2. Verfahren nach Anspruch "1, 

- bei dem die erste Nachricht (Ml) zusatzlich eine Identi- 
tatsangabe (id CA ) einer Zertif izierungscomputereinheit 
(CA) , die ein Netzzertif ikat (CertN) liefert, das von der 

10 ersten Computereinheit (U) verifiziert werden kann, auf- 
weist, 

- bei dem eine zweite Nachricht (M2 ) von der zweiten Compu- 
tereinheit (N) an die. erste Computereinheit (U) ubertragen 
wird, wobei die zweite Nachricht (M2) mindestens das Netz- 

15 zertif ikat (CertN) aufweist, und 

- bei dem in der ersten Computereinheit (U) das Netzzertif i- 
kat (CertN) verifiziert wird. 



20 



3 . Verfahren nach Anspruch 2 , 

- bei dem eine dritte Nachricht (M3) von der ersten Compute- 
reinheit (U) an die zweite Computereinheit (N) ubertragen 
wird, wobei die dritte Nachricht (M3) zusatzlich ein Benut- 
zerzertif ikat (CertU) aufweist, 

- bei dem in der zweiten Computereinheit (N) das Benutzerzer- 
25 tifikat (CertU) verifiziert wird. 

4. Verfahren nach Anspruch 1, 

- bei dem die erste Nachricht (Ml) zusatzlich eine Identi- 
tatsgroSe (IMUI) der ersten Computereinheit (U) und eine 

30 Identitatsangabe (id CA ) einer Zertif izierungscomputerein- 

heit (CA) , die der ersten Computereinheit (U) ein Netzzer- 
tif ikat (CertN) liefert, das von der ersten Computereinheit 
(U) verifiziert werden kann, aufweist, 

- bei dem eine vierte Nachricht (M4) von der zweiten Compu- 
35 tereinheit (N) an die Zertif izierungscomputereinheit (CA) 

ubertragen wird, wobei die vierte Nachricht (M4) mindestens 
den offentlichen Netzschlussel (g s ) , den ersten Wert (gt). 
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die Identitatsgrofie (IMtU) der ersten Computereinheit (U) 
als EingangsgroSe aufweist und wobei eine AusgangsgroSe ei- 
ner dritten Hash-Funktion (h3) unter Verwendung einer zwei- 
ten Signaturf unktion (Sigj^) signiert wird, 
5 - bei dem in der Zertif izierungscomputereinheit (CA) der er- 
ste signierte Term verifiziert wird, 

- bei dem in der Zertif izierungscomputereinheit (CA) ein 
dritter Term gebildet wird, der mindestens den ersten Wert 
(gt), den offentlichen Netzschlussel (g s ) und eine Identi- 

10 tatsangabe (id N ) der zweiten Computereinheit (N) aufweist, 

- bei dem in der Zertif izierungscomputereinheit (CA) unter 
Verwendung einer vierten Hash-Funktion (h4) ein Hash-Wert 
uber den dritten Term gebildet wird, 

- bei dem in der Zertif izierungscomputereinheit (CA) der Has- 
15 h-Wert uber den dritten Term unter Verwendung einer dritten 

Signaturf unktion (Sig c ^) mit einem geheimen Zertif izie- 
rungsschlussel (U) signiert wird, 

- bei dem in der Zertif izierungscomputereinheit (CA) ein 
Netzzertif ikat (CertN) gebildet wird, das mindestens den 

2 0 dritten Term und den signierten Hash-Wert des dritten Terms 

aufweist, 

- bei dem in der Zertif izierungscomputereinheit (CA) auf ei- 
nen funften Term der mindestens die Identitatsangabe (id^j) 
der zweiten Computereinheit (N) und ein Benutzerzertif ikat 

25 (CertU) aufweist, eine vierte Hash-Funktion (h4) angewendet 

wird, 

- bei dem der Hash-Wert des funften Terms durch Verwendung 
der dritten Signaturf unktion (Sig^) ™it dem geheimen Zer- 
tif izierungsschlussel (cs) signiert und das Ergebnis den 

30 zweiten signierten Term darstellt, 

- bei dem eine funfte Nachricht (M5) , die mindestens das 
Netzzertif ikat (CertN) , den funften Term und den zweiten 
signierten Term aufweist, von der Zertif izierungscomputer- 
einheit (CA) zu der zweiten Computereinheit (N) ubertragen 

3 5 wird, 
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- bei dem in der zweiten Computereinheit (N) das Netzzertif i- 
kat (CertN) und der zweite signierte Term verifiziert wer- 
den, 

- bei dem in der zweiten Computereinheit (N) ein vierter 

5 Term, der mindestens den of f entlichen Netzschlussel <g s ) 

und den signierten Hash-Wert des dritten Terms aufweist, 
gebildet wird, 

- bei dem eine zweite Nachricht (M2) von der zweiten Compu- 
tereinheit (N) an die erste Computereinheit (U) ubertragen 

10 wird, wobei die zweite Nachricht (M2) mindestens den vier- 
ten Term aufweist, und 

- bei dem in der ersten Computereinheit (U) das Netzzertifi- 
kat (CertN) verifiziert wird, 

15 5. Verfahren nach Anspruch 4, 

bei dem der funfte Term zusatzlich einen Zeitstempel (TS) 
aufweist. 

6. Verfahren nach Anspruch 4 Oder 5, 

2 0 - bei dem in der ersten Computereinheit (U) vor Bildung der 

ersten Nachricht (Ml) ein Zwischenschlussel (L) gebildet 
wird, indem ein offentlicher Zertif izierungsschlussel (g u ) 
mit der ersten Zufallszahl (t) potenziert wird, 

- bei dem in der ersten Computereinheit (U) vor Bildung der 
25 ersten Nachricht (Ml) aus der IdentitatsgroSe (IMUI) der 

ersten Computereinheit (U) ein zweiter verschlusselter Term 
(VT2) gebildet wird, indem die IdentitatsgroSe (IMUI) mit 
dem Zwischenschlussel (L) unter Anwendung einer Ver- 
schlusselungsf unktion (Enc) verschlusselt wird, 

3 0 - bei dem die erste Nachricht (Ml) anstatt der Identitatsgro- 

Se (IMUI) der ersten Computereinheit (U) den zweiten ver- 
schlusselten Term (VT2) aufweist, 

- bei dem die vierte Nachricht (M4) anstatt der Identitats- 
groSe (IMUI) der ersten Computereinheit (U) den zweiten 

35 verschlusselten Term ( VT2 ) aufweist, und 
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- bei dem in der Zertif izierungscomputereinheit (CA) , nachdem 
die vierte Nachricht (M4) empfangen wurde, der zweite ver- 
schlusselte Term (VT2) entschlusselt wird.- 

5 7:~Verfahren nach einem der Anspruche 4 bis 6, 

bei dem in der Zertif izierungscomputereinheit (CA) mindestens 
eine der GroSen, die Identitatsangabe (id N ) der zweiten Com- 
putereinheit (N) , die IdentitatsgroSe (|mu|) der erst en Com- 
putereinheit (U) , der of fentliche Netzschlussel (gS) oder das 
10 Benutzerzertifikat (CertU) anhand einer Revokationsliste 
uberpriift wird* 



8. Verfahren nach einem der Anspruche 1 bis 7, 

- bei dem die erste Nachricht (Ml) zusatzlich mindestens eine 
15 alte temporare IdentitatsgroEe (TMUIO) der ersten Compu- 

tereinheit <U) aufweist, 

- bei dem in der zweiten Computereinheit (N) , nach dem die 
ersten Nachricht (Ml) empfangen wurde und bevor die zweite 
Nachricht (M2) gebildet wird, fur die erste Computereinheit 

20 (U) eine neue temporare IdentitatsgroEe (TMUIN) gebildet 

wird, 

- bei dem aus der neuen temporaren IdentitatsgroSe (TMUIN) 
der ersten Computereinheit (U) ein vierter verschlusselter 
Term (VT4) gebildet wird, in dem die neue temporare Identi- 

25 tatsgroSe (TMUIN) der ersten Computereinheit (U) mit dem 

Sitzungschlussel (K) unter Anwendung der Verschlusselungs- 
funktion (Enc) verschlusselt wird, 

- bei dem die zweite Nachricht (M2) zusatzlich mindestens den 
vierten verschlusselten Term { VT4 ) aufweist, 

30 - bei dem in der ersten Computereinheit (U) , nachdem die 

zweite Nachricht (M2) empfangen wurde und bevor die vierte 
Eingangsgrofie gebildet wird, der vierte verschlusselte Term 
(VT4) entschlusselt wird, 

- bei dem die dritte EingangsgroSe fur die erste Hash-Funkti- 
35 on (hi) oder fur die zweite Hash-Funktion (h2) zur Bildung 

der vierten EingangsgroSe zusatzlich mindestens die neue 
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temporare IdentitatsgroSe (TMUIN) der ersten Computerein- 
heit (U) aufweist, und 

- bei dem die dritte Nachricht (M3) nicht die IdentitatsgroSe 
(IMUI) der ersten Computereinheit (U) aufweist. 

5 

9. Verfahren nach einem der Anspruche 1 bis 8, 

- bei dem in der zweiten Computereinheit (N) eine Information 
zu dem Sitzungsschlussel (K) enthaltende Antwort (A) ge- 
bildet wird, 

10 - bei dem eine zweite Nachricht (M2) von der zweite Compu- 
tereinheit <N) an die erste Computereinheit (U) ubertragen 
wird, wobei die zweite Nachricht (M2) mindestens die Ant- 
wort (A) aufweist, und 

- bei dem in der ersten Computereinheit (U) der Sitzungs- 
15 schlussel (K) anhand der Antwort (A) uberpruft wird. 

10. Verfahren nach Anspruch 9, 

bei dem die dritte Nachricht (M3) zusatzlich eine Identitats- 
groSe (IMUI) der ersten Computereinheit aufweist. 

20 

11. Verfahren nach einem der Anspruche 1 bis 10, 

- bei dem in der zweiten Computereinheit (N) die erste Ein- 
gangsgrofie der ersten Hash-Funktion (hi) zusatzlich minde- 
stens eine zweite Zufallszahl (r) aufweist, 

25 - bei dem die zweite Nachricht (M2) zusatzlich die zweite Zu- 
fallszahl (r) aufweist, und 

- bei dem in der ersten Computereinheit (U) die zweite Ein- 
gangsgrofie der ersten Hash-Funktion (hi) zusatzlich minde- 
stens die zweite Zufallszahl (r) aufweist. 

30 

12. Verfahren nach einem der Anschlusse 1 bis 5, 

- bei dem in der ersten Computereinheit (U) vor Bildung der 
dritten Nachricht (M3) aus der Ident itatsgroSe (IMUI) der 
ersten Computereinheit (U) ein zweiter verschlusselter Term 

35 (VT2) gebildet wird, in dem die IdentitatsgroEe (IMUI) mit 

dem Sitzungsschlussel (K) unter Anwendung der Verschlusse- 
lungsf unktion (Enc) verschlusselt wird, 
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- bei dem die dritte Nachricht (M3) zusatzlich den zweiten 
verschlusselten Term (VT2) aufweist, und 

. - bei dem in der zweiten Computereinheit (N) , nachdem die 
dritte Nachricht (M3) empfangen wurde, der zweite ver- 
5 schlusselte Term (VT2) entschlusselt wird. 

13. Verfahren nach einem der Anspruche 1 bis 12, 

- bei dem die zweite Nachricht (M2) zusatzlich. ein optionales 
erstes Datenfeld (datl) aufweist und 

10 - bei dem die dritte Eingangsgrofie fur die erste Hash-Funkti- 
on (hi) Oder -fur die zweite Hash-Funktion (h2) zur Bildung 
der vierten EingangsgroSe zusatzlich mindestens das optio- 
nale erste Datenfeld (datl) aufweist. 

15 14. Verfahren nach einem der Anspruche 1 bis 13, 

- bei dem in der ersten Computereinheit (U) vor Bildung der 
dritten Nachricht (M3) ein dritter verschlusselter Term 
(VT3) gebildet wird, indem ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschlussel (K) unter Anwendung der 

20 Verschlusselungsf unktion (Enc) verschlusselt wird, 

- bei dem die dritte Nachricht (M3) zusatzlich mindestens den 
dritten verschlusselten Term (VT3) aufweist, und 

- bei dem in der zweiten Computereinheit (N) , nachdem die 
dritte Nachricht (M3) empfangen wurde, der dritte ver- 

25 schlusselte Term (VT3) entschlusselt wird. 

15. Verfahren nach einem der Anspruche 1 bis 14, 

- bei dem in der ersten Computereinheit (U) vor Bildung der 
dritten Nachricht (M3) ein erster verschlusselter Term 

30 (VT1) gebildet wird, indem der Signaturterm mit dem Sit- 

zungsschlussel (K) unter Anwendung der Verschlusselungs- 
funktion (Enc) verschlusselt wird, 

- bei dem die dritte Nachricht (M3) zusatzlich den ersten 
verschlusselten Term (VT1) aufweist, und 

35 - bei dem in der zweiten Computereinheit (N) , nachdem die 

dritte Nachricht (M3) empfangen wurde und bevor der Signa- 
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turterm verifiziert wird, der erste verschlusselte Term 
(VT1) entschlusselt wird. 

16. Ver.fahren nach einem der Anspruche 1 bis 15 , 

5 bei dem in der zweiten Computereinheit (N) eine Antwort (A) 
gebildet wird, indem eine Konstante (const), die in der zwei- 
ten Computereinheit (N) und in der ersten Computereinheit (U) 
bekannt sind, mit dem Sitzungsschlussel (K) unter Anwendung 
der Verschlusselungsfunktion (Enc) verschlusselt wird. 

10 

17. Verf ahren "nach einem der Anspruche 1 bis 16 , 

- bei dem in der zweiten Computereinheit (N) eine Antwort (A) 
gebildet wird, indem auf den Sitzungsschlussel (K) eine 
■ dritte Hash-Funktion (h3) angewendet wird, und 
15 - bei dem in der ersten Computereinheit (U) die Antwort (A) 
uberpruft wird, indem auf den Sitzungsschlussel (K) die 
dritte Hash-Funktion (h3) angewendet wird, und das Ergebnis 
mit der Antwort (A) verglichen wird. 

2 0 18. Verf ahren nach einem der Anspruche 9 bis 15 oder 17, 

bei dem in der ersten Computereinheit (U) die Antwort (A) 
uberpruft wird, indem eine Konstante (const) mit dem Sit- 
zungsschlussel (K) unter Anwendung der Verschlusselungsfunk- 
tion (Enc) verschlusselt wird und das Ergebnis mit der Ant- 
25 wort (A) verglichen wird. 

19. Verf ahren nach einem der Anspruche 9 bis 15 oder 17, 
bei dem in der ersten Computereinheit (U) die Antwort (A) 
uberpruft wird, indem die Antwort (A) mit dem Sitzungsschlus- 

3 0 sel (K) unter Anwendung der Verschlusselungsfunktion (Enc) 

entschlusselt wird und eine entschlusselte Konstante (const 1 ) 
mit einer Konstante (const) verglichen wird. 

20. Verf ahren nach einem "der Anspruche 1 bis 19, 

35 bei dem die dritte Nachricht (M3) zusatzlich mindestens ein 
optionales zweites Datenfeld (dat2) aufweist. 
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21. Verfahren nach einem der Anspruche 1 bis 20, 
bei dem die erste Computereinheit (U) durch ein mobiles Kom- 
munikationsendgerat und/oder die zweite Computereinheit (N) 
durch eine Authentif izierungseinheit in einem Mobil- 
5 Kommunikationsnetz gebildet werden. 
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